НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Попытка вернуть деньги

Две зарубежные страховые фирмы подали в суд на известного вендора средств кибербезопасности Trustwave. По мнению истцов, Trustwave несет ответственность за то, что ее продукты не смогли обнаружить и остановить вредоносное ПО, из-за которого произошла утечка данных у их общего клиента. Представители Trustwave утверждают, что у иска нет судебных перспектив.

Истцы - фирмы Lexington Insurance Company и Beazley Insurance Company - оказывали услуги страхования платежной компании Heartland Payment Systems, одному из ведущих игроков рынка.

В 2009 г. компания Heartland признала факт крупного киберинцидента: в 2008 г. злоумышленникам удалось похитить данные более чем 100 млн платежных карт клиентов компании.

Страховщики пытаются вернуть свои деньги. Истцы требуют $30 млн в качестве минимальной компенсации своих расходов. При этом в результате уже состоявшихся разбирательств Heartland пришлось выплатить более $148 млн в порядке урегулирования исков, поданных ее клиентами. Lexingtone и Beazley пришлось выплатить крупные страховки - $20 млн и $10 млн соответственно.

Страховые фирмы пытаются засудить вендора безопасности за инцидент у их общего клиента

Ответчик обвиняется в том, что не выполнил свои обязательства перед Heartland. Как утверждают истцы, Trustwave не смогла распознать кибератаку, случившуюся 24 июля 2007 г., когда хакер, произведя SQL-инъекцию, проник в инфраструктуру платежной системы. Эксперты Trustwave не смогли также выявить и вторую атаку, когда злоумышленники установили вредоносное ПО прямо на серверы Heartland.

Сертификация с нарушениями

Истцы также ссылаются на утверждения экспертов корпорации Visa, которые заявили, что Trustwave некорректно провела процедуру сертификации Heartland на предмет соответствия стандарту безопасности платежных карт PCS DSS. Только компании, прошедшие сертификацию на соответствие PCS DSS, имеют право работать с платежными картами.

В отчете Visa указывалось, что эксперты Trustwave, проводившие аудит, проигнорировали множественные нарушения норм кибербезопасности в инфраструктуре Heartland: отсутствие файерволла, использование заводских паролей, отсутствие надлежащей защиты системы хранения данных платежных карт, отсутствие уникальных идентификаторов для каждого пользователя системы и отсутствие регулярного мониторинга.

Все это прямо нарушало правила сертификации PCS DSS, но Trustwave все же присвоило Heartland статус соответствия стандарту. Впоследствии Visa запретила Heartland сотрудничать с Trustwave.

Все эти сведения страховые компании используют как аргументы, чтобы доказать виновность Trustwave в халатности.

Trustwave: иск неправомочен

Фирма Trustwave, со своей стороны, ответила встречным иском против страховщиков, требуя признать их претензии несостоятельными.

По утверждению представителей компании, Trustwave не занималась управлением безопасности Heartland, а только оказывала консалтинговые услуги и выдала сертификат соответствия PCI DSS. Сертификация, однако, не подразумевает, что инфраструктура Heartland неуязвима перед кибератаками. Со своей стороны Heartland не выдвигала никаких претензий к Trustwave.

Степень ответственности консультантов по кибербезопасности за инциденты, случившиеся у их клиентов, - это, безусловно, щекотливый вопрос, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Вряд ли существует универсальный ответ на него, в каждой ситуации он будет разным. В случае с Heartland и Trustwave, по-видимому, речь больше идет о желании страховщиков компенсировать свои убытки, нежели о реальной ответственности за кибератаку.

Стоит отметить, что Trustwave уже не впервые оказывается в роли ответчика по искам о киберинцидентах. В 2014 г. банковский конгломерат безуспешно пытался засудить Trustwave по итогам взлома платежной инфраструктуры ритейлера Target. Иск был отклонен, поскольку оказалось, что Trustwave не имела никакого отношения к защите инфраструктуры Target.

Аналогичный иск к Trustwave был подан казино Affinity Gaming в 2016 г. Affinity в 2013 г. пострадало от хакерской атаки, для расследования и устранения последствий которой были привлечены эксперты Trustwave. Во время расследования произошла еще одна хакерская атака, хотя специалисты Trustwave утверждали, что системы Affinity теперь защищены. Иск был урегулирован во внесудебном порядке.

Другие новости на эту тему

Природные катаклизмы на востоке России и в Монголии могут значительно усилиться и участиться из-за глобального потепления. Такие выводы сделала группа американских ученых, изучив данные со спутников за последние 38 лет. Итоги их исследования опубликованы в журнале Science.Специалисты рассмотрели несколько теоретических моделей, которые описывают климат до и после промышленной революции...
Металлоинвест раскрыл сумму бюджета на цифровую транформацию Бюджет холдинга Металлоинвест на цифровую трансформацию в 2016-2020 гг. составит 6 млрд руб, рассказал гендиректор холдинга Андрей Варичев. Пик инвестиций объемом 3 млрд руб. придется на этот год. В 2019 г. будет потрачено еще 1 млрд руб...
Исчерпывающие сведения о договорах госкомпаний исчезли Как обратил внимание CNews, с сайта госзакупок исчезли тексты договоров подрядчиков с госкомпаниями. В частности, нет доступа к договорам Ростелекома, Сбербанка, Почты России и др. Напомним, что в феврале 2017 г...
Заместителя министра Носкова стали его прежние замы по АЦ Министерство цифрового развития, связи и массовых коммуникаций сообщило о назначении двух новых заместителей министра. Ими стали Евгений Кисляков и Олег Войтенко, до сих пор работавшие заместителями гендиректора автономной некоммерческой организации (АНО) Аналитический центр при правительств (АЦ). В мае 2018 г...
Объединение линеек Руководство Samsung намерено объединить популярную флагманскую линейку смартфонов Galaxy S с не менее известным семейством устройств Galaxy Note. О том, что у вице-председателя компании Джея Ли (Jay Lee) есть такие планы, сообщает корейское издание The Bell...
Американские ученые из Национального института рака и онкологического центра Моффитта пришли к выводу, что низкие дозы аспирина уменьшают риск развития рака яичников. Об этом сообщается в пресс-релизе на MedicalXpress.Специалисты проанализировали данные, полученные в ходе 13 исследований, в которых приняли участие 750 тысяч женщин...
Ученые Йоркского университета (Великобритания) выяснили, что пассивное курение значительно увеличивает риск выкидышей и пороков развития плода у беременных женщин. Об этом сообщается в пресс-релизе на MedicalXpress...
Уход заместителей министра Два заместителя министра цифрового развития, связи и массовых коммуникаций - Рашид Исмаилов и Дмитрий Алхазов - покидают свои посты по собственной просьбе. Соответствующие распоряжения правительства опубликованы 19 июля 2018 г. вечером. В зону ответственности Алхазова в министерстве входил телеком, Исмаилов занимался вопросами международного сотрудничества...
Работа над ошибками с чистого листа По данным делового портала Bloomberg, ссылающегося на информацию от анонимных индустриальных источников, разработка новой операционной системы Fuchsia OS, которая в строжайшей тайне ведется компанией Google, может означать гораздо большее, чем подготовка замены Android...
Чужих детей не бывает? Программная ошибка, закравшаяся в программный пакет Schools Information Management System (SIMS, система управления информацией для учебных заведений), привела к тому, что учащихся британских школ приписывали во внутренних документах к чужим семьям. Система SIMS используется в Великобритании повсеместно в качестве основной базы данных об учениках...